POST.BACK

Apr 20, 2020

Las soluciones de identificación con selfies no cumplen con KYC/AML

eses
  • en
  • ar
  • zh-hans
  • fr
  • de
  • ja
Las soluciones de identificación con selfies no cumplen con KYC/AML

Las soluciones de identificación que permiten la verificación a través de la toma de imágenes de los documentos de identidad y fotografías selfie de la cara del usuario no cumplen con las normativas legales de prevención de blanqueo de capitales y financiación del terrorismo (AML, Anti-Money Laundering), especialmente en el sector financiero.

En este artículo, vamos a desgranar los motivos por los que estas soluciones de verificación de identidad no cumplen con las leyes que regulan los procedimientos KYC, de verificación y autenticación de identidad.

Si estás interesado en saber más sobre el nuevo Mercado Único Digital europeo, descarga este whitepaper gratuito.

Por qué las identificaciones con selfies no cumplen con KYC/AML

Su bajo grado de seguridad técnica, la debilidad de las pruebas electrónicas que se aportan en el proceso KYC (Know Your Customer) y la poca fiabilidad que presentan en relación con la falta de integridad del mismo provocan que este tipo de soluciones no se ajusten a los requerimientos exigidos por la legislación y las distintas regulaciones.

El nivel de seguridad proporcionado es deficiente, lejos de la seguridad requerida para la identificación formal de clientes según las regulaciones más exigentes en esta materia. Estas, han establecido un nivel más alto de requerimientos técnicos en los procesos KYC/AML.

Seguridad del proceso KYC/AML en EE.UU.

Dados los múltiples casos de fraude en los procesos KYC/AML, el Departamento de Comercio de EE.UU., a través del National Institute of Standards and Technology (NIST) definió una líneas base sobre la verificación de identidad digital (NIST SP 800-63A), que establecen tres niveles de seguridad para el registro y las pruebas en la verificación de identidad, que se clasifican como bajo (IAL1), medio (IAL2) y alto (IAL3).

El nivel alto (IAL3) equivale a la identificación presencial y es apto para la creación de cuentas de forma remota/online. Este nivel requiere de intervención humana y propone una transmisión de vídeo continua en alta resolución.

Las soluciones que toman imágenes/selfies se engloban en el nivel medio de seguridad (IAL2)  siempre y cuando se combinen con otras pruebas de alto nivel sobre la identidad de la persona, más allá de las imágenes tomadas del documento de identidad acreditativo y de la grabación de la cara de la persona. Éstas suelen ser facturas, dirección, o background checks de información sobre la identidad de la persona.

Este segundo nivel es inseguro, ineficiente y poco fiable. En la Unión Europea, por motivos de privacidad y seguridad, en contraposición a lo que ocurre en el mundo anglosajón, estos métodos no están permitidos por muchas razones. Además, la dificultad en el tratamiento de datos de carácter personal, incluso de carácter público, son un problema para ser procesados por las entidades previo consentimiento expreso de las personas afectadas.

KYC en Europa: AML & eIDAS

Como hemos expuesto anteriormente, no existen procedimientos de identificación no presencial en Europa que permitan el uso de soluciones de verificación de identidad basadas en imágenes simples o selfies.

La Directiva AML5, junto con el Reglamento eIDAS de servicios de confianza establecen el marco regulatorio para los procesos KYC/AML en Europa.

Se crea así el marco normativo que posibilita la adopción de la Vídeo IDentificación para los procesos de nueva contratación de servicios y apertura de cuentas de forma totalmente online y segura, homogeneizando así el Mercado Único Digital europeo.

eIDAS, en vigor el 1 de Julio de 2015, establece los distintos niveles de seguridad (desde bajo hasta sustancial y alto) en identificación electrónica, también en firma electrónica.

AML5, o 5AMLD, en vigor desde el 9 de Julio de 2018, confía en el entorno de seguridad eIDAS para la identificación remota de clientes.

La Comisión Europea ha trabajado más de doce años en la cualificación para validar las soluciones que cumplen con eIDAS y en los niveles de seguridad en la identificación y firma electrónicas. Del mismo modo, se apoya en los organismos locales de estandarización y en la figura del Conformity Assessment Body (CAB).

Para asegurar que una solución de Vídeo IDentificación es válida, los CABs realizan una auditoría y emiten un informe Conformity Assessment (CAR). Si se desea adoptar una solución KYC/AML, se debe solicitar al proveedor de software un CAR que confirme que su solución está auditada y certificada conforme con las regulaciones eIDAS y AML.

Países como Alemania han desarrollado guías adicionales. En su caso, la primera Technical Guideline, denominada TR-03147. Esta Guía Técnica establece las medidas de seguridad para la identificación remota de clientes exclusivamente por vídeo y a través de los documentos de identidad.

Aún así, ya incluso antes de la entrada en vigor de AML5 y eIDAS, muchos Estados miembro de la Unión Europea ya tenían reguladores con autorizaciones de identificación no presencial publicadas que permitían utilizar tecnología de vídeo en streaming.

Entidades reguladoras KYC/AML

Tanto en Europa como en el resto de continentes, destacan determinadas entidades reguladoras que establecen las normas en los procedimientos KYC/AML y la identificación remota de clientes.

Europa:

  • BAFIN (Bundesanstalt für  Finanzdienstleistungsaufsicht) – Regulador alemán.
  • FMA (Financial Market Authority) – Regulador austriaco.
  • FINMA (Swiss Financial Market Supervisory Authority) – Regulador suizo.
  • CSSF (Commission de Surveillance du Secteur Financier) – Regulador luxemburgués.
  • BdP (Banco de Portugal) – Regulador portugués.
  • FCIS (Servicio de Investigación del Crimen Financiero bajo el Ministerio del Interior) – Regulador lituano.
  • SEPBLAC (Servicio Ejecutivo de Prevención de Blanqueo de Capitales) – Regulador español.

Latinoamérica:

  • CNBV (Comisión Nacional Bancaria y de Valores) – Regulador de México.

Asia:

  • MAS (Monetary Authority of Singapore) – Regulador de Singapur.
  • FSC (Financial Services Commission) – Regulador de Corea.
  • FSA o JFSA (Japan Financial Services Agency) – Regulador de Japón.
  • HKMA (Hong Kong Monetary Authority) – Regulador de Hong Kong.

Todos los procedimientos/autorizaciones que desarrollan estas entidades pueden encontrarse de forma pública online.

Soluciones de Vídeo IDentificación seguras para KYC/AML

El vídeo-streaming se está convirtiendo en el estándar para la identificación de clientes online. Existen dos tipos de soluciones:

  • Soluciones síncronas: videoconferencia con un agente que realiza la entrevista del cliente online y la comprobación de identidad y documentación
  • Soluciones asíncronas donde se realiza un registro por vídeo en streaming, garantizando el control e integridad del proceso de grabación del vídeo por el sujeto obligado y una verificación posterior offline por un agente cualificado.

Ambas soluciones se pueden combinar dependiendo de la necesidad del uso.

Normalmente, la vídeo-conferencia (síncrona) se utiliza para una venta consultiva en la que se adquiere un nuevo cliente y el vídeo asíncrono (Video IDentificación)  es más común en procesos de captación de clientes que requieren agilidad en el proceso y en la que se ofrece una experiencia rápida (apertura de cuentas bancarias online, por ejemplo) y fluida pero igual de segura que la identificación presencial. Un ejemplo de solución segura y sencilla es VideoID.

Si quieres conocer qué soluciones cumplen con KYC/AML y cómo, no dudes en descargar esta guía.

COOKIES.TEXT COOKIES.COOKIE_SETTINGS_TEXT COOKIES.TEXT_2 COOKIES.COOKIE_POLICY_TEXTCOOKIES.TEXT_3

ROTATE